重磅!聚合支付标准即将出台,未来路在何方?

近日,全国金融标准化技术委员会(以下简称“金标委”)发布关于征求《聚合支付安全技术规范》(征求意见稿)的通知,目前该规范正处于委员会投票阶段,或不久将对外公布。

《聚合支付安全技术规范》

该规范提出了聚合技术平台的基本框架,规定了聚合支付系统实现、安全技术、安全管理、风险控制等要求。适用于从事聚合支付系统建设、服务运营的聚合技术服务商。规范在各个方面对聚合支付进行了较高的要求。

聚合支付的发展

2016年,聚合支付横空出世,突然一时间,聚合支付遍天下,到处都传闻着聚合支付的艳事,耳熟能详!那么,聚合支付究竟是什么?百度百科上,聚合支付又叫融合支付,聚合也好,融合也罢,字面上理解,顾名思义,就是把支付汇总起来合在一起。

在财付通和支付宝两大巨头背后,是一个个微小的聚合支付机构。所谓聚合支付,就是依托银行、三方支付或清算组织的支付通道与清算能力,为客户提供接口、集成、对接、订单处理、数据统计等的支付服务机构,它们通常不具支付许可牌照,它们的业务团队穿梭于大街小巷,为小微商户提供技术支撑和营销服务。它们中的很大部分,是将不同小微商户的多个二维码聚合到一个二维码上,可同时收取消费者从支付宝、微信等第三方支付渠道的付款,并能够完成清算、结算、对账等功能。

2017年央行45号文件《关于持续提升收单服务水平,规范和促进收单服务市场发展的指导意见》,明确提出了鼓励聚合支付,对于聚合支付带给商户的价值给予明确肯定。

聚合支付的模式特点

聚合支付根据服务对象不同,聚合支付可分为线上型和线下型。监管此前曾鼓励收单机构为特约商户提供聚合支付服务。在正常的交易中,用户向商户发起交易,商户将交易上送至收单机构,收单机构通过银联,将交易送至发卡行,发卡行扣款之后通过银联将资金清算至收单机构,收单机构根据比例进行分润并将资金分配至商户。

做这样的二维码聚合支付产品主要有两个主要环节,一个是交易通道(微信支付、支付宝、快捷支付、百度钱包等),另一个是代付通道(银行、银联、第三方支付公司),交易通道的接入必须要有大商户作为载体,而大商户的真实性一直是央行监管的重点。

如今绝大多数的二唯码支付品牌都是接的银行的微信支付宝通道,因为银行的另外一个身份就是微信支付宝的服务商,还有一个身份就是金融机构拥有资金清算的资质(民生银行厦门清算中心因为越界被监管关停),最后一个身份就是作为垫资方,将二维码支付T+0秒到包装成一个业务提供给二维码聚合支付服务商。

以大商户模式接入后,就轮到代付通道了,将用户通过通道交易的资金清算给B端。而聚合支付企业一般没有支付许可牌照,也不进行资金清算,目前有部分披着聚合技术服务商(如云付、盛树宝)涉嫌无证从事支付结算业务,扰乱了市场秩序,需要加以规范。

聚合支付标准即将出台

在本次由商业银行、支付机构、中国银联、检测机构等角色组成的标准工作组拟定的《聚合支付安全规范》草案中,聚合技术服务商被定义为经工商行政管理部门批准成立,接受支付服务机构、商户委托,利用自身的技术与服务集成能力,提供商户拓展、支付渠道整合、技术对接、系统运维、集合对账等服务的机构。

在数据留存和应用安全方面

除了对聚合支付的固态码、动态码、线上业务等业务进行基本定义之外,标准还对聚合支付的数据留存问题有较高的要求。

在应用软件的运行安全方面还要求:聚合技术服务商应通过白名单、提醒等方式,确保聚合技术服务商应用访问聚合技术服务商web站点进行安全控制;聚合技术服务商应用应从木马病毒防范、信息加密保护、运行环境可信等方面提升安全防控能力;聚合技术服务商应用应能检测并向后台系统反馈手机支付环境安全状况,作为风控策略的依据。

除以上要求外,该标准还对通信安全、受理终端安全、报文接口安全等方面有更加细化的要求。

管理和风控方面要求

在风控方面,聚合支付应该满足《银行卡收单业务外包管理的通知》(银发〔2015〕199号)要求。2017年年初,央行将聚合支付定性为银行卡收单外包服务商之后,另外对于交易系统在风控层面和管理层面也有了更高要求,例如,聚合技术服务商应建立应对套现、欺诈、洗钱等方向的风险监控模型及系统,对异常交易进行及时预警并通过预警及时反馈支付服务机构;应针对批量或高频登录等异常行为,应利用IP地址、终端设备标识等信息进行综合识别,及时采取附加/验证、拒绝请求等手段;资金类等高风险业务,通过短信等方式实时告知客户和商户其资金变化情况。

聚合支付路在何方

上半年以来,多家银行发布通知表示因为人民银行针对无证经营支付业务整治工作(也就是217号文),将对四方聚合支付进行全面整改清退,全面关停无证支付机构的渠道号,部分银行分行甚至直接停止运营移动支付通道业务。不过值得注意的是,此次银行系整治关停支付通道,直连微信或者支付宝的商户不受影响。

而目前看来,或将有一大批机构和商户将被主动或被动关停。这些聚合支付机构,也在经历行业的大变局。随着监管落地,已在夹缝中求生的聚合支付将面对更为残酷的现实。

未来的合规聚合主要将表现在三个方面,一是不审商户;二是不碰资金;三是不做系统对接。前两者是无条件的,第三个可以适当放宽。

后续聚合支付机构可能寻求转型,充分发挥在市场一线展业的机会,在解决了中小微企业基础的支付需求之外,还需要为中小微零售企业提供金融解决方案,包括贷款,信用卡办理,收款资金理财,更深层次地介入中小企业供应链金融上下游。

而作为通道方的银行,应着力在完善通道功能的同时,加强合规和风控的管控,设计灵活的产品更好地支持聚合支付和电商平台的服务,并叠加更多金融产品给这些场景拓展企业,实现互利共赢。

过去的野蛮生长不可长久,未来,将是一个更加考验运营和精耕细作的时代,只有让用户觉得好,提升用户体验度,增加产品粘性,产品才可以长久。


原文发布于微信公众号 - 金融民工小曾(jrmgxz)

原文发表时间:2018-08-11

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏币聪财经

币聪早报:日本IT巨头NTT Data与经济部联合公布基于区块链的贸易平台

日本 Cointelegraph 8月23日报道,日本新能源和工业技术开发组织(NEDO)正在为贸易行业开发基于区块链的数据共享系统。

953
来自专栏数据猿

欧盟 “最严”数据保护新规正式生效,能拯救处于“裸奔”状态的网民吗?

882
来自专栏安恒信息

黑客入侵美国陈旧支付系统的技术日益娴熟

专家称,美国零售商塔吉特及其他主要零售商很可能是这轮严重网络犯罪的首批目标,黑客现在入侵美国陈旧支付系统的技术日益娴熟。 据美国《华盛顿邮报》报道,传统的防护...

3507
来自专栏镁客网

「镁客晚报」苹果安全性遭谷歌质疑,索尼拟自主开发芯片

1633
来自专栏逸鹏说道

反击黑客勒索!这家网站帮你免费解密被黑文件

网站:https://www.nomoreransom.org ?   相信很多人都经历过被恶意病毒软件勒索的经历,尤其是臭名昭著的 Crypt 系列,对你电脑...

3398
来自专栏FreeBuf

史上最严数据保护条例GDPR今日生效,究竟意味着什么?

GDPR 的全称是 General Data Protection Regulation,即《通用数据保护条例》。这项法案在 2012 年 1 月份就已经起草,...

1354
来自专栏云鼎实验室的专栏

2018上半年互联网DDoS攻击趋势分析

8277
来自专栏镁客网

谷歌向手机厂商收费,每台设备最多40美元

新收费标准于10月29日生效,适用于所有在欧洲发行并使用谷歌安卓操作系统的任何新智能手机和平板电脑。

1111
来自专栏CDA数据分析师

新闻数读 | 30余家;55亿;88%;15部门;3000万;20/100

今日数字 1、30余家——中国广播电视网络有限公司、北京歌华有线电视网络股份有限公司拟联合全国三十余家省市有线电视网络公司,共同成立“中国广电大数据联盟”。 2...

1957
来自专栏FreeBuf

IntSights研究表明:暗网和加密聊天室情报将有助于预测黑客行为

很多攻击事件其实都是偶然事件,因为那些“脚本小子”碰巧在目标网站上找到了一个常见的且利用难度不大的漏洞。那些大规模数据泄露事件往往都是通过精心策划来执行和实现的...

1162

扫码关注云+社区